grizzly999

1. kann das DNS-Update oftmals ein bis zwei Stunden dauern

2. in welcher Zone hast du den eintrag angelegt? MeineDomäne.at? Dann hieße der Alias für die IP ja vpn.meinedomäne.at.meinedomäne.at :suspect:

grizzly999

Wenn im Explorer/Arbeitsplatz unter "Extras\Ordneroptionen\Allgmein" die Allgemeine Aufgabenansicht ausgewählt ist (ist default nach der Installation), dann ist links in der Netzwerkumgebung sogar das gleiche Symbol wie bei 2000 zum Durchsuchen des Verzeichnisdienstes da.

grizzly999

Es wird immer nur soviel Energie übertragen, wie die gesamter Verbraucher am Netzteil benötigen, d.h. die aufgenommene Leistung ist lastabhängig ;)

Die Wattzahl beim Netzteil gibt nur an, zu was das Teil fähig ist, ohne gleich die Flügel zu strecken.

grizzly999

Das gibt es bei XP und 2003 immer noch, ich meine das Suchen im AD über die Netzwerkumgebung.

Der Anstz schon damals war der: gedacht war es für alle Benutzer, aber eher für Power User und Adminstratoren, nicht für den "Normalsterblichen VordemBildschirmSitzer". Und zwar in großen Umgebungen mit vielen Fileservern und vielleicht kein oder nur dediziertes DFS. Wenn man in einer solchen großen Umgebung, nehmen wir mal als Beispiel Daimler oder HP weltweit an, sehr viele Fileserver mit vielen Freigaben hat, dann hat es u.U. auch ein Admin schwer, alle Fileserver und dort freigegebene Resourcen zu kennen, wenn er nach einem bestimten Share sucht, um sich dorthin zu verbinden. Das ist nichts für den gemeinen User, die haben ihre Mappings und damit schon ihre Probleme, sondern, wie gesagt, Power User und Administratoren. Mit ständig veröffentlichten Freigaben und Schlüsselwörtern ist dann eine Suche solcher Freigaben unter möglicherweise zig oder hunderten von Servern mit freigebenen Resourcen etwas, was einem viel Klickerei und Rechner öffnen in der Netzwerkumgebung ersparen kann.

Aber wann kommt das selbst für die angepielten Zelgruppen in Betracht? Docher selten bis nie, auch mangels einer großen Zahl dieser Zielgruppe.

grizzly999

Es ist wie immer beim Design: [Prediger ON]

Die Anforderungen bzw. das Ziel, die Voraussetzungen, Kosten, Aufwand, und weitere Parameter bestimmen den Weg zum Ziel.

Außer bei technisch bedingten K.O.-Kriterien ist das meist eine Frage des Abwägens.[Prediger OFF]

Es gibt natürlich als Auswahlkriterien auch "Best Practices", in dem Fall z.B. wenn es geht, AD-integrierte Zone. Aber das ist eben ein "Wenn es geht". Manchmal geht es aber nicht, oder nur mit Einschränkungen.

grizzly999

Ich würde keinen DC in die Domäne hängen und dann wieder rausnehmen. Da hätte ich Bauchweh.

Warum? Das ist von Microsoft bei Unfällen so vorgesehen, das ist supportet, und im Unfallbereich habe ich das schon viele viele male ohne jegliche Probleme machen müssen. Ich meine, einen fehlenden DC aus dem AD herrauszuoperieren. Meist ist es im Vergleich dazu etwas zeitaufwändiger, den herausopertierten DC dann alleinstehednd wieder ohne Fehlermeldungen hinzubekommen, aber das geht.

grizzly999

Oder ich möchte an einem Standort eine DNS-Auflösung zur Verfügung stellen, aber verhindern, dass sich Clients an diesem Standort ins DNS schreiben können, etwa in einer Schulunsumgebung. Dort möchte ich vielleicht die Auflösung von Intranetservern oder von OWA gewährleisten, aber ungern haben, dass Spielkinder die Testmaschinen ins DNS schreiben.

Auch bei der Kommunikation zwischen mehreren Forests kann das hilfreich sein.

Das wird nicht klappen, außer dieser sek. DNS wird offline betrieben. Nur, dann haperts auch mit dem Update der Zone per Zonetransfer. Wennd er sek. an dem Standort mit dem Master kommmunizieren kann und ein primärer, respektive AD-integrierter DNS erreichbar ist, dann registrieren sich die Clients dort.

@AmericanJessus:

Was würde es für einen Sinn machen, meine DNS Zonen auf eine Maschine zu replizieren, die gar nichts mit meinem AD zu tun hat????

Ein, zwei Beispiele habe ich weiter oben kurz angerissen. Hast du das gelesen?

grizzly999

Aber klar :)

Man sollte halt nicht in der Schulungspause "mal schnell" über die Beiträge lesen und dann antworten. Hatte den gleichen Domänennamen überlesen :o

Schon der 2. Mistake heute. In Zukunft wieder in Ruhe ........ ;)

grizzly999

Äh, ja danke. Natürlich: explizites Zulsasen hat Vorrang vor geerbetm Verweigern.

Vor lauter Verweigern .... :o:D

grizzly999

ja du hast recht, was hat mich denn da geritten. bin wohl von explizieten dateiberechtigungen und vererbten berechtigungen darauf gekommen... upsi naja aus fehlern lernt man

Das ist so nicht ganz richtig: Es ist so:

- explizite Verweigerungen haben immer Vorrang (egal über was ich die habe)

- explizite Verweigerungen haben Vorrang vor geerbten Verweigerungen!!

Also, wenn eine Datei vom Ordern das verweigern erbt - Häkchen ausgraut - und ich (nach Unterbrechung der Vererbung) der Datei den User X mit "Ändern Zulassen" eintrage, dann hat er Ändern Zugriff ;)

grizzly999

Stimmt.

 

In einer reinen Windows-Umgebung werden sekundäre Zonen eigentlich nur benötigt, um Namensauflösung für "fremde" Domänen zu machen.

Nicht nur, sondern auch, wenn ein sek. DNS auf einem Nicht-DC installiert werden soll, und eine AD-integrierte Zone vorhanden ist.

Oder wenn in einer gemischten 2000-DC/2003-DC Umgebung bestimmte Zonen auch auf den 2000 DCs verfügbar sein sollen, z.B. die _msdcs.<domainname-Zone>.

grizzly999

Am besten macht man das mit dem ADMT (natürlich entsprechende Voraussetzungen und Vorabeiten erforderlich).

Kollege Yusuf (Daim) hat in seinem BLOG dazu eine Anleitung, MS auch

grizzly999

Was meinst du mit "Unterzone"? Eine richtige Zone, dann taucht die unterhalb von "firma.local" so gar nicht auf, damit erübrigt sich die Frage der Replikation. Du müsstest aber in der ParentZone, also "firma.local" entweder eine statsiche Delegierung einrichten, die würde dann mitrepliziert werden, oder eine Stub Zone. Oder ein Conditional Forwarding.

Oder meinetst du gar eine Domäne innerhalb der Zone, diese würde auf jeden Fall zusammen mit den anderen Zoneninformationen mitrepliziert werden.

grizzly999

Microsoft's DNS kann mit Umlauten umgehen, aber es ist absolut nicht empfohlen. Man weiß nie, an welcher Ecke man sonst anstösst, meistens nicht im DNS sondern an anderer Stelle.

Meine dringende Empfehlung für das ganze AD und komplette Netzwerk: Sich an RFC 1123 halten ;)

grizzly999

Eigentlich will ich Antworten und keine Löcher in den Bauch gefragt bekommen.

Außerdem hab ich eigentlich schon alles gesagt und oben erklärt. Aber für die die nicht lesen wollen, oder nur tratschen statt Lösungsansätze aufzuzeigen, die ganze Chose nochmal.

Ich glaube, ich lese nicht richtig. Du lieferst keine ordentliche, präzise Fehlerbeschreibungen, und wenn man nachfragt, wirst du pampig, und bezichtigst diejenigen, die sich bereit erklären, dir Hilfe zu leisten, der Tratscherei.

So nicht !

Erstens: Verwarnung!

Zweitens schleiße ich den Thread und du kannst ihn nochmals aufmachen mit einer ordentlichen Fehlerdiagnose und mit einem ordentlichen Ton.

Und wenn dir die "Tratscherei" nicht passt, es gibt im weiten Internet Foren wie Sand am Meer.

Ende der Tratscherei :mad:

grizzly999

Das Zertifikat wird wohl unter dem User erstellt unter welchem ich´s auf der CMD durchführe?

Jep, aber wie gesagt, der Name ist egal, Hauptsache der Zweck stimmt und man hat den private key ;)

Keine Ursache :)

grizzly999

Das Zertifikat bzw. der Agent ist frei wählbar, das muss nicht der Admin sein, nur der Zweck des Zertifikats muss passen. Einfach mit einem Rechtsklick auf die Policy "Verschlüssendes Dateisystem" gehen, dann Wiederherstellungsagent hinzufügen, und dann auf "Ordner durchsuchen". Dort dann den PFad mit der .cer-Datei auswählen

grizzly999

Normalerweise ist in der Default Domain Policy ein Wiederherstellungsagent-Zertifikat drinnen (wenn auch nur 3 Jahre gültig). Hast du das etwa verschlampt?! :D :D

Ok, mache eine Kommandozeile auf und gib folgendes ein:

cipher /r:<Dateiname ohne Erweiterung>

Es werden dir in dem Pfad, in welchem du den Befehl aufruft, 2 Dateien erstellt: eine .cer-Datei, die kannst du in der angefragten Richtlinie importieren, und eine .pfx-Datei, das ist das Zertifikat mit dem privaten Schlüssel. Die solltest du sehr gut aufbewahren !

grizzly999

Hallo,

Ich meine mal gelesen zu haben, dass es einen Unterschied macht, ob man Ordner oder einzelne Files mit EFS verschlüsselt.

Bei einzelnen Files werden nur Kopien verschlüsselt, die unverschlüsselten Orginale bleiben aber auf der Platte erhalten und sind relativ einfach wieder hervorzuholen. Bei verschlüsselten Ordnern hat man keine Chance.

 

cu

blub

Das ist teilweise richtig. Wenn man nur eine Datei verschlüsselt, wird während des Ver- bzw. Entschlüsselungsvorgangs eine unverschlüsselte Sicherungskopie erstellt, für den Fall, dass das System jetzt ausfallen sollte. Wird der Vorgang erfolgreich beendet wird die unverschlüsselte Kopie gelöscht, und zwar so, wie eine normale Dateilöschung abäuft. D.h. es könnte mit irgendwelchen Undelete-Tools die gelöschte Datei wieder hergestellt werden, falls die Cluster noch nicht überschrieben sind. Wennd er genaze Ordner verschlüsselt ist, erben alle im Ordner erstellten Dateien das E-Attribut, auch die Sicherungskopie, und wäre damit ebenfalls verschlüsselt ;)

grizzly999

IThome meint den hier in Bezug auf L2TP/IPSec und NAT(gilt aber nur für XP mit SP2 ):

The default behavior of IPsec NAT traversal (NAT-T) is changed in Windows XP Service Pack 2

Der gilt aber nicht für XP mit SP1, da brauchts einen Hotfix, den man separat über den Windows Catalog herunterladen muss (kein Windows Update!): L2TP/IPsec NAT-T update for Windows XP and Windows 2000

Was IThone auch vergesseb hat zu schreiben, aber ich weiß, dass er es weiß ;), bei IPSec muss der Router neben UDP 500 und UDP 4500 auch ESP-Pakete (Protokollkennung 50) weiterleiten können.

grizzly999

Schau dir mal meinen alten Thread an:

 

http://www.mcseboard.de/windows-forum-allgemein-28/efs-recovery-huerden-99607.html

 

@grizzly999

 

Egal wie die Meinung und die Rules hier im Board sind, es gibt bei EFS Problemen mehr Lösungen als MS sie supportet. Das gibt sogar der PSS in seinen Mails zu. (Wer möchte kann entsprechende Texte per PN von mir bekommen)

 

EFS Recovey funkioniert auch über andere Wege als Bruteforce auf AES.

 

Ich würde in jedem Fall einer Demoversion einer solchen russichern Software einen Versuch gönnen. Das ist umsonst und rettet in vielen Fällen Daten die sonst verloren wären.

 

Den ersten Link den man von Microsoft übrigens per Mail bekommt wenn man ein mit Boardmitteln nicht mehr lösbares Problem hat ist der von elcomsoft, welche immerhin Microsoft Gold Certified sind. https://solutionfinder.microsoft.com/Partners/PartnerDetailsView.aspx?partnerid=c488785eed1446c98bdd8052194cf65c

 

subby

Ich hab's gewusst, dass es wieder kommt :cry:

Ja, ja, ich weiß, die russische Software - Gold Partner hin oder her - kann in Bezug auf EFS alles, zumindest laut Werbung. Und der Weiße Riese wäscht so weiß, weißer geht's nicht. Das glabust du? Nein? Warum glaubst du dann den anderen Werbeversprechen? Oder lest doch wenigstens das Kleingedruckte, unter den fetten Werbebotschaften, auch bei Elmsoft.

Ich sage dir: Wenn der Key weg, ist, das Profil unwiederruflich gelöscht ist (so, dass du die relevanten Teile vielleicht nur noch von Ontrack mit Platte im Reinraum öffnen wiederherstellen lassen kannst), dann ist der Ofen aus. Ich weiß, wie EFS funktioniert, das wissen DIE auch. Und zaubern, hexen oder hellsehen können die auch nicht. Und das steht bei denen auch im Kleingedruckten (!!), hintendrüben, natürlich nicht auf der ersten Seite mit den dollen Werbeaussagen. Dort ist zu lesen:

Known problems and limitations:

• The program can decrypt protected files only if encryption keys (at least, some of them) are still exist in the system and have not been tampered.

Und die wissen, warum die das da hinschreiben. Ich schaffe es bald nicht mehr , dieses Thema immer und immer wieder durchzukauen. :cry:

Ja, ich weiß auch, jetzt kommst du mit "Aber bei uns hat .....

War in deinem Fall das Profil mit private key weg?

War es so weg, dass es nicht wiederherstellbar war?

War es so weg, dass nicht mal ein Hexeditor den Part aus dem Profil mit dem private key auf der Platte hätte finden können?

Wenn du alle diese Fragen mit einem klaren Ja beantwortest, und diese Software sich dennoch hat eine Bitfolge aus 2^256 Möglichkeiten einfach so hat einfallen lassen, die das Ding wieder entschlüsselt hat, dann glaube ich an übersinnliche Kräfte in Russland :rolleyes:

grizzly999

Danke Grizzly.

Geht das mit dem Mitglied einer Domäne auch nachträglich? Zur Not könnte man ja auch die Platte ausbauen.

Nein, leider nicht .....

grizzly999

Ein alleinstehendes XP hat kein Recovery Agent. Du kannst mit cipher /r:<Dateiname> ein zertifikat (mit private key) erzeugen und dann dort importieren, bringt dir aber im nachhinein nichts.

Wenn du das alte Profile nicht mehr herstellen kannst (vielleicht mit Datenrettungssoftware untersuchen), dann kannst du die verschlüsselten Dateien vergessen. Da hilft auch keine russische Software, falls hier wieder jemand damit anfängt. Brute Force Carck mehtoden bei 256 Bit AES Verschlüsselung ist ein ziemlich aussichtsloses Unterfangen.

Wenn der Rechner alelrdings Mitglied ein Domäe wäre, dann gibt es dort den Domänen-Admin als Wiederherstellungsagent.

grizzly999

Jedes Attribut hat seine eigene USN und zwar auf jedem DC seine eigene USN

grizzly999

ah. ich glaube, der server, der links gewählt ist, bekommt die daten von dem server, der rechts markiert ist?!

Ist richtig, aber das steht auch in deinem Bild. Man lese dir Überschrift der 2. Spalte im Detailfenster ;)